🔊 Спикерим

Сегодня вечером я провел онлайн-семинар для студентов из моей университетской группы на тему безопасности API и тестированию на проникновение на практике в веб-приложении VAmPI в Kali — всё прямо на семинаре! Материал для презентации был взят из моей Habr статьи на эту же тему.

Спасибо всем тем, кто пришел, проявлял активность в чате и писал слова поддержки. Всё это правда очень важно для меня.

Этот опыт очень ценен для меня. Учту свои ошибки, но, кажется, для первого публичного выступления всё прошло успешно. Это отличная практика для развития спикерских навыков и возможность передать знания другим.

🔗 Ссылка на запись семинара

#выступление

😈 ОТРываемся

Прошлым месяцем на программе Bug Bounty нашел способ регистрировать аккаунты на несуществующие номера телефонов путём обхода OTP — OWASP A01:2021 (Broken Access Control).

Произошло это из-за неправильной архитектуры веб-приложения. При регистрации нужно подтвердить свой номер телефона кодом из СМС (англ. OTP — One-Time Password). Таким образом система должна убедиться, что регистрирующийся пользователь и правда владеет введённым номером. Но при анализе ответов с сервера я обнаружил, что мне возвращается 200-ый код и accessToken (см. скриншот). Это означает, что данные об аккаунте заносятся в базу данных еще до подтверждения кода из СМС. Мне было достаточно перейти в личный кабинет по ссылке https://<...>/profile через 2-3 минуты, после чего у меня был полный доступ к аккаунту. Причем интересно, почему именно спустя какое-то время (если у вас есть идеи почему так, жду комментарии).

Разработчикам необходимо переработать логику создания аккаунта — сначала подтверждение OTP, а после уже вносить аккаунт в базу данных. Конкретно в данном проекте нет возможности отказаться от подтверждения кода, поэтому этот момент должен быть проработан, иначе можно создавать множество аккаунтов на несуществующие номера.

К сожалению, уязвимость в репорте оказалась дубликатом: ровно месяц назад эту же дыру нашел другой специалист.

#bugbounty #кейс

💻 Игра по-крупному

6 часов назад к холодному кошельку биржи Bybit был получен несанкционированный доступ, в результате чего хакерами было выведено 401346 ETH (~1 млрд долларов). Об этом заявил CEO биржи.

Это крупнейшая кража в истории криптовалюты.

С данного момента мультиподпись и аппаратные кошельки не гарантируют безопасность. Ожидаем новые методы защиты?

Берегите свои активы!

#новость

📕 Мой путь к проектам

Хочу оставить развёрнутый отзыв об академии пентестеров в ИБ кооперативе RAD COP в виде вопрос-ответ (заодно получится и FAQ). С чем пришел, чему научился, чем занимаюсь сейчас.

▎Как я попал в академию?
➡️Продолжительное время пытался найти работу по пентесту изначально просто для опыта, а не ради денег. Я мечтал влиться в команду пентестеров, активно получать новые знания и расширять свой кругозор атак. Через headhunter попасть никуда не смог. Да, приглашали, но не подходили по моим ожиданиям (20 часов в неделю, желательно удалёнку и т.д.). Остальные не воспринимали меня по возрасту или требовали оконченного высшего образования (или 3-4 курс). Почти в отчаянном состоянии, когда были мысли по типу "ничего не светит до 3-го курса", решил через Google написать ИБ компаниям по контактам на их сайте. Утром получил ответ от RAD COP с предложением провести созвон. Я уже пришёл с хорошей теоретической и практической базой, поэтому были знания, от которых я отталкивался для погружения далее. Огромная благодарность моему Тимлиду @CuriV, который помогает мне во всём до сих пор и в целом благодарность всему кооперативу за тёплое принятие в свои ряды.

▎Как я прошёл отбор в академию?
➡️На собеседовании обсудили все мои сильные и слабые стороны. После этого в срок выполнил тестовое задание (CTF), в котором надо было собрать все флаги и написать отчет с последующей его защитой. С работой справился хорошо.

▎Как происходило обучение в академии?
➡️Нам давали задания на неделю по принципу минимум-максимум. Я старался выкладываться по полной и выполнять максимум из расписанных заданий. Включалась еще какая-нибудь CTF лаба, к которой ещё надо написать отчёт. В созвонах каждую неделю мы собирались в групповой звонок, где каждый презентовал свой отчёт, делился впечатлениями и сложностями. Если возникали какие-либо вопросы или трудности, друг другу во всем помогали разобраться.

▎Сколько длилось моё обучение в академии?
➡️Почти 2 месяца.

▎Что я сделал в академии?
➡️Изучил OWASP top 10 API 2019 и 2023 годов.
➡️Изучил Swagger.
➡️Решил API лабы в Portswigger.
➡️Прошёл лабу VAmPI.
➡️Написал статью по пентесту лабы VAmPI.
➡️Прошёл лабу FVWA.
➡️Прошёл лабу Metasploitable3.
➡️Прошёл Bandit до 13 лвл (отложил на будущее).
➡️Пробовал новые инструменты.
➡️Прошёл лабу из тестового задания другой ИБ компании.
➡️Научился делать более детальное оформление отчёта без шаблона.
➡️Изучил методы личной эффективности: метод Zettelkasten, техника Pomodoro, метод GTD, метод Фейнмана, метод SMART в постановке задач, цикл Деминга (PDCA), конус обучения Эдгара Дейла, кривая забывания Эббингауза, "карта и территория".
➡️Освежил предыдущие знания и приготовился двигаться дальше.
➡️И, возможно, что-то ещё (мог упустить при написании поста).

▎С каким результатом я закончил академию?
➡️Полученные знания применяю на коммерческих проектах до сих пор, а методы личной эффективности помогли организоваться: не забывать запланированные дела и оптимизировать своё время.

▎Что мне даёт этот сертификат (см. скриншот)?
➡️Юридически ничего, но за ним скрывается большая история, которой грех не поделиться. Поэтому этот сертификат даёт мне ощущение достижения, уверенность в своих силах и доказательство того, что я смог преодолеть такой объёмный и насыщенный путь обучения.

▎Чем я начал заниматься после окончания академии?
➡️Работать над коммерческими проектами Заказчиков. Это на голову сложнее и интереснее CTF, поэтому прохождение академии помогло мне подготовиться к таким переменам.

Хоть академия и закончилась для меня в роли обучающегося, но сама учёба не закончится никогда. Продолжаю совершенствоваться на реальных проектах, решаю найденные лабы в интернете, читаю теорию OSCP и так далее. Настало время передавать свои знания новым джунам в академии в роли ментора/препода :)

🤨 С вас 1e-1 рублей

На практике часто приходится сталкиваться с тестированием платёжных систем. Данная методичка поможет пентестерам проводить более тщательный анализ безопасности таких систем. На проекте также воспользовался данным материалом.

▎Краткое содержание:
➡️Уязвимости типа Time-of-Check-Time-of-Use (TOCTOU) и Race Condition;
➡️Манипуляции с параметрами;
➡️Атаки повторного воспроизведения (Replay Attacks);
➡️Ошибки округления;
➡️Проблемы обработки числовых данных;
➡️Уязвимости, связанные с номерами карт;
➡️Динамическое ценообразование, цены с допуском и реферальные схемы;
➡️Перебор и угадывание данных (Enumeration and Guessing);
➡️Проблемы криптографии;
➡️Загружаемые и виртуальные товары;
➡️Скрытые и небезопасные backend-API;
➡️Использование тестовых данных в production-среде;
➡️Арбитраж валют при пополнении/покупке и выводе/возврате средств.

Документ переведён на русский язык, но оригинал на английском также сохранён. Когда встретится кривой перевод, всегда можно свериться с оригинальным текстом страницей выше.

Сохраняйте себе, чтобы не потерять!

#материал

🤨 Костылёк на костыльке...

Однажды появилась задача поисследовать Bitrix на уязвимости. Нашёл очень классные материалы по атакам на данную CMS на русском языке. С помощью них обнаружил несколько некритических уязвимостей на проекте, а потом отпала необходимость ковырять данный вектор. Ну и ладно)

Всегда держу ссылочки при себе на всякий случай, вам тоже советую их сохранить.

🔗 Ссылка на методичку PDF [Автор crlf]
🔗 Ссылка на скачивание шпаргалки PDF [Автор Антон Лопаницын]
🔗 Ссылка на Bitrix Ultimate Pentest Guide [Автор FaLLenSkiLL]

#материал